当前位置: 首页 > 图文教程 > 数据库 > MSSQL > 3个步骤结束网站恶梦-SQL注入隐患!

MSSQL
SQL Server数据库搭建农村信息化的方案
建立合理的索引提高SQL Server的性能
如何利用SQL Server 2005中的模板参数
浅析SQL Server三大算法的I/O成本
SQL Server与Oracle数据库在安全性上的异同
解析SQL Server与ASP互操作的时间处理
sql server 中删除默认约束的通用sql脚本
实用技巧:优化SQL Server数据库查询方法
SQL Server的BUILTIN\Administrators用户
史上最简单的方法复制或迁移Oracle数据库
数据库自动化技术弥补数据库DBA短缺难题
教你怎样在Oracle数据库中高速导出/导入
怎样在SQL Server中去除表中不可见字符
怎样使用 SQL Server 数据库嵌套子查询
细化解析:转换 SQL数据库时的疑难问题
细化解析:SQL Server 2000 的各种版本
轻松掌握 SQL Server 2000数据库的构架
带你轻松了解 SQL Server数据库的组成
解决SQL Server日志文件损坏严重的问题
检测你的SQL Server是否有特洛伊木马

MSSQL 中的 3个步骤结束网站恶梦-SQL注入隐患!


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-17   浏览: 162 ::
收藏到网摘: n/a

许多网站程序在编写时,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。

SQL注入是什么?

许多网站程序在编写时,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码(一般是在浏览器地址栏进行,通过正常的www端口访问),根据程序返回的结果,获得某些想得知的数据,这就是所谓的SQL Injection,即SQL注入。

网站的恶梦——SQL注入

SQL注入通过网页对网站数据库进行修改。它能够直接在数据库中添加具有管理员权限的用户,从而最终获得系统管理员权限。黑客可以利用获得的管理员权限任意获得网站上的文件或者在网页上加挂木马和各种恶意程序,对网站和访问该网站的网友都带来巨大危害。

防御SQL注入有妙法

第一步:很多新手从网上下载SQL通用防注入系统的程序,在需要防范注入的页面头部用 来防止别人进行手动注入测试。可是如果通过SQL注入分析器就可轻松跳过防注入系统并自动分析其注入点。然后只需要几分钟,你的管理员账号及密码就会被分析出来。

第二步:对于注入分析器的防范,笔者通过实验,发现了一种简单有效的防范方法。首先我们要知道SQL注入分析器是如何工作的。在操作过程中,发现软件并不是冲着“admin”管理员账号去的,而是冲着权限(如flag=1)去的。这样一来,无论你的管理员账号怎么变都无法逃过检测。

第三步:既然无法逃过检测,那我们就做两个账号,一个是普通的管理员账号,一个是防止注入的账号,为什么这么说呢?笔者想,如果找一个权限最大的账号制造假象,吸引软件的检测,而这个账号里的内容是大于千字以上的中文字符,就会迫使软件对这个账号进行分析的时候进入全负荷状态甚至资源耗尽而死机。下面我们就来修改数据库吧。